硬盘NTFS分区MFT文件记录结构

csdn · 发表于 2008-5-17 01:32:26

MFT文件记录结构分析
主文件表MFT的文件记录由记录头和属性列表组成，由“FF FF FF FF”结束，一般大小为1K，或一个[wiki]簇[/wiki]大小，记录头包括以下一些域：
偏移长度（[wiki]字节[/wiki]）属性
0X00 4 标志，一定是“FILE”
0X04 2 更新序列US的偏移
0X06 2 更新序列号USN的大小与数组，包括第一个字节
0X08 8 日志文件序列号LSN
0X10 2 序列号（SN）
0X12 2 硬连接数
0X14 2 第一个属性的偏移地址
0X16 2 标志，1表示记录正在使用，2表示该记录为目录
0X18 4 记录头和属性的总长度，即文件记录的实际长度，
0X1C 4 总共分配给记录的长度
0X20 8 基本文件记录中的文件索引号
0X28 2 下一属性ID
0X2A 2 XP中使用，边界
0X2C 4 XP中使用，本文件记录号

每次记录被修改都将导致日志文件序列号$LogFile Sequence Number（LSN）发生变化。
序列号Sequence Number（SN）用于记录主文件表记录被重复使用的次数。
硬连接数Hard Link Count记录硬连接的数目，只出现在基本文件记录中。
文件记录的实际长度是文件记录在磁盘上实际占用的字节空间。
基本文件记录中的文件索引号，对于基本文件记录，其值为0，如果不为0，则是一个主文件表的文件索引号，指向所属的基本文件记录中的文件记录号，在基本文件记录中包含有扩展文件记录的信息，[wiki]存储[/wiki]在“属性列表ATTRIBUTE_LIST”属性中。

属性列表是可变长度区，以“FF FF FF FF”结束，对于1K长度的MFT记录，属性列表的起始偏移为0x30。

索引记录结构分析

每一个索引记录都是由一个标准的索引头和一些包含索引键和索引数据的块组成的。索引记录的大小在引导记录 $Boot中定义，一般总是4KB。
标准索引头的结构如下：

偏移大小说明
0X00 4 总是“INDX”
0X04 2 更新序号偏移
0X06 2 更新序列号USN的大小与排列，包括第一个字节
0X08 8 日志文件序列号LSN
0X10 8 该索引缓冲在索引分配中的索引VCN
0X18 4 索引入口的偏移（相对于0X18）
0X1C 4 索引入口的大小（相对于0X18）
0X20 4 索引入口的分配大小（相对于0X18）
0X24 1 非页级节点为1（有子索引）
0X25 3 总是0
0X28 2 更新序列号
0X2A 2S-2 更新序列排列

常用索引列表

名称索引说明
$I30 文件名目录使用
$SDH 安全描述 $SECURE
$SII 安全IDS $SECURE
$O 对象IDS $OBJID
$O 所有者IDS $QUOTA
$Q 配额 $QUOTA
$R 重解析点 $REPARSE